Сергей Яремчук

Хорошая вещь швейцарский нож: есть и ножницы, пилочка, отвертка и еще много нужных предметов, но вот пользоваться им не очень удобно. В повседневной жизни лучше применять индивидуальный инструмент. В мире безопасности аналогичная ситуация.

Традиционно для защиты сетевых приложений используют системы обнаружения и остановки атак, а также межсетевые экраны, работающие на третьем сетевом уровне модели OSI. В то же время такой подход имеет и недостатки. Так, при включении в разрыв необходим IP-адрес, при этом IPS (Intrusion Prevention Systems) легко обнаруживается и система сама может подвергнуться нападению. Выходом из такой ситуации является переход на более низкий, т.е. канальный уровень OSI, что с успехом и применяется в такой IPS, как hogwash [1]. Но увеличение потоков данных привело к тому, что такие системы требуют серьезной аппаратной поддержки, иначе они просто не успевают обрабатывать информацию. С другой стороны IPS, как правило, не знает, что конкретно она защищает (хотя это можно настроить, убрав лишние правила), поэтому ресурсы системы расходуются зря. Но зато она точно не владеет информацией о событиях, происходящих в конкретных приложениях. Кроме того, такие системы позволяют защитить только наиболее часто используемые приложения. Поэтому они смогут обеспечить только некий минимальный базовый уровень защиты, а учитывая, что на сегодняшний день увеличилось количество нападений на прикладном уровне, этого явно недостаточно. Для выполнения более широкого набора проверок, контроля трафика и реагирования на нападение в реальном времени, требуется поместить IPS и firewall поближе к приложению, т.е. на седьмой уровень.